在補救儀表板中建立角色/原則

本文描述如何使用 Microsoft Entra 權限管理中的 [補救] 儀表板，建立 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 授權系統的角色/原則。

注意

若要檢視 [補救] 索引標籤，您必須擁有檢視者、控制者或管理員權限。 若要在此索引標籤上進行變更，您必須擁有控制者或管理員權限。 如果您沒有這些權限，請連絡您的系統管理員。

注意

Microsoft Azure 使用的「角色」一詞，其他雲端服務提供者稱為「原則」。 當您選取授權系統類型時，權限管理會自動變更此術語。 在使用者文件中，我們會使用角色/原則來指稱這兩個項目。

建立 AWS 的原則

注意

如需 AWS 服務配額的相關資訊，以及要求增加 AWS 服務配額，請瀏覽 AWS 文件。

1. 在 Microsoft Entra 首頁上，選取 [補救] 索引標籤，然後選取 [角色/原則] 索引標籤。

2. 使用下拉式清單來選取 [授權系統類型] 和 [授權系統]。

3. 選取 [建立原則]。

4. 在詳細資料頁面上，授權系統類型和授權系統會預先填入您先前的設定。

   • 若要變更設定，請從下拉式清單中選取。

5. 在該如何建立原則下，選取必要的選項：

   • 使用者的活動：可讓您根據使用者活動建立原則。
   • 群組的活動：可讓您根據屬於群組所有使用者的彙總活動來建立原則。
   • 資源的活動：可讓您根據資源的活動來建立原則，例如 EC2 執行個體。
   • 角色的活動：可讓您根據擔任角色所有使用者的彙總活動來建立原則。
   • 標籤的活動：可讓您根據所有標籤的彙總活動來建立原則。
   • Lambda 函式的活動：可讓您根據 Lambda 函式建立新的原則。
   • 從現有原則：可讓您根據現有原則建立新的原則。
   • 新原則：可讓您從頭開始建立新的原則。

6. 在 [上次執行的工作] 中，選取持續時間：90 天、60 天、30 天、7 天或 1 天。

7. 根據您的喜好設定，選取或取消選取 [包括存取建議程式資料]。

8. 在 [設定] 中，從 [可用] 資料行中，選取加號 (+)，將身分識別移至 [已選取] 資料行，然後選取 [下一步]。

9. 在 [工作] 頁面上，從 [可用] 資料行中，選取加號 (+)，將工作移至 [已選取] 資料行。

   • 若要新增整個類別，請選取類別。
   • 若要從類別新增個別項目，請選取類別名稱左邊的向下箭號，然後選取個別專案。

10. 在 [資源] 中，選取 [所有資源] 或 [特定資源]。

    如果您選取 [特定資源]，就會顯示可用的資源清單。 尋找您想要新增的資源，然後選取 [新增]。

11. 在 [要求條件] 中，選取 [JSON]。

12. 在 [效果] 中，選取 [允許] 或 [拒絕]，然後選取 [下一步]。

13. 針對原則名稱，請輸入原則名稱。

14. 若要將另一個陳述式新增至原則，請選取 [新增陳述式]，然後從 [陳述式] 清單中選取陳述式。

15. 檢閱您的工作、資源、要求條件和效果設定，然後選取 [下一步]。

16. 在預覽頁面上，檢閱指令碼以確認為想要的內容。

17. 如果控制器未啟用，請選取 [下載 JSON] 或 [下載指令碼] 以下載程式碼並自行執行。

    若您的控制器已啟用，請跳過此步驟。

18. 選取 [分割原則]，然後選取 [提交]。

    訊息會確認已提交您的建立原則

19. [權限管理工作] 窗格會出現在右側。

    • [使用中] 索引標籤會顯示權限管理目前正在處理的原則清單。
    • [已完成] 索引標籤會顯示 [權限管理] 已完成的原則清單。

20. 指定授權系統的數據收集完成後，就會反映新建立的原則資訊。

建立 Azure 的角色

1. 在 [權限管理] 首頁上，選取 [補救] 索引標籤，然後選取 [角色/原則] 索引標籤。

2. 使用下拉式清單來選取 [授權系統類型] 和 [授權系統]。

3. 選取 [Create Role] \(建立角色\)。

4. 在詳細資料頁面上，授權系統類型和授權系統會預先填入您先前的設定。

   • 若要變更設定，請選取方塊，然後從下拉式清單中選取。

5. 在該如何建立原則？下，選取必要的選項：

   • 使用者的活動：可讓您根據使用者活動建立原則。
   • 群組的活動 ：可讓您根據屬於群組所有使用者的彙總活動來建立角色。
   • 應用程式的活動：可讓您根據所有應用程式的彙總活動來建立角色。
   • 從現有角色：可讓您根據現有的角色建立新的角色。
   • 新增角色：可讓您從頭開始建立新的角色。

6. 在 [上次執行的工作] 中，選取持續時間：90 天、60 天、30 天、7 天或 1 天。

7. 視您的喜好設定：

   • 選取或取消選取 [忽略非 Microsoft 讀取動作]。
   • 選取或取消選取 [包括唯讀工作]。

8. 在 [設定] 中，從 [可用] 資料行中，選取加號 (+)，將身分識別移至 [已選取] 資料行，然後選取 [下一步]。

9. 在工作頁面上的角色名稱：，輸入角色的名稱。

10. 從 [可用] 資料行中，選取加號 (+)，將工作移至 [已選取] 資料行。

    • 若要新增整個類別，請選取類別。
    • 若要從類別新增個別項目，請選取類別名稱左邊的向下箭號，然後選取個別專案。

11. 選取 [下一步]。

12. (選用) 系統管理員可以複製資源群組範圍字串，以作為範圍使用。 在 Azure 中，選取 [資源群組] > [監視] > [屬性]，然後複製 [資源識別碼]。

13. 在預覽頁面上，檢閱：

    • 選取的動作和非動作清單。
    • JSON 或指令碼，以確認其為您想要的內容。

14. 如果控制器未啟用，請選取 [下載 JSON] 或 [下載指令碼] 以下載程式碼並自行執行。

    若您的控制器已啟用，請跳過此步驟。

15. 選取 [提交]。

    訊息會確認已提交您的原則以進行建立

16. [權限管理工作] 窗格會出現在右側。

    • [使用中] 索引標籤會顯示權限管理目前正在處理的原則清單。
    • [已完成] 索引標籤會顯示 [權限管理] 已完成的原則清單。

17. 指定授權系統的數據收集完成後，就會反映新建立的角色資訊。

建立 GCP 的角色

1. 在 [權限管理] 首頁上，選取 [補救] 索引標籤，然後選取 [角色/原則] 索引標籤。

2. 使用下拉式清單來選取 [授權系統類型] 和 [授權系統]。

3. 選取 [Create Role] \(建立角色\)。

4. 在詳細資料頁面上，授權系統類型和授權系統會預先填入您先前的設定。

   • 若要變更設定，請選取方塊，然後從下拉式清單中選取。

5. 在該如何建立原則？下，選取必要的選項：

   • 使用者的活動：可讓您根據使用者活動建立原則。
   • 群組的活動 ：可讓您根據屬於群組所有使用者的彙總活動來建立角色。
   • 服務帳戶的活動：可讓您根據所有服務帳戶的彙總活動建立角色。
   • 從現有角色：可讓您根據現有的角色建立新的角色。
   • 新增角色：可讓您從頭開始建立新的角色。

6. 在 [上次執行的工作] 中，選取持續時間：90 天、60 天、30 天、7 天或 1 天。

7. 如果您在上一個步驟中選取 [服務帳戶的活動]，請選取或取消選取 [收集所有 GCP 授權系統的活動]。

8. 從 [可用] 資料行中，選取加號 (+)，將身分識別移至 [已選取] 資料行，然後選取 [下一步]。

9. 在工作頁面上的角色名稱：，輸入角色的名稱。

10. 從 [可用] 資料行中，選取加號 (+)，將工作移至 [已選取] 資料行。

    • 若要新增整個類別，請選取類別。
    • 若要從類別新增個別項目，請選取類別名稱左邊的向下箭號，然後選取個別專案。

11. 選取 [下一步]。

12. 在預覽頁面上，檢閱：

    • 已選取動作的清單。
    • YAML或指令碼，以確認其為您想要的內容。

13. 如果控制器未啟用，請選取 [下載 YAML] 或 [下載指令碼] 以下載程式碼並自行執行。

14. 選取 [提交]。 訊息會確認已提交您的原則以進行建立

15. [權限管理工作] 窗格會出現在右側。

    • [使用中] 索引標籤會顯示權限管理目前正在處理的原則清單。
    • [已完成] 索引標籤會顯示 [權限管理] 已完成的原則清單。

16. 指定授權系統的數據收集完成後，就會反映新建立的角色資訊。

下一步

• 如需如何檢視現有角色/原則、要求和權限的資訊，請參閱檢視補救儀表板中的角色/原則、要求和權限。
• 如需如何修改角色/原則的資訊，請參閱修改角色/原則。